2023 PortSwigger Top 10 웹 해킹 기술

https://portswigger.net/research/top-10-web-hacking-techniques-of-2023

Top 10 web hacking techniques of 2023

 

웹 보안 분야 최고의 툴 Burp Suite로 유명한 PortSwigger 에서 지난달 19일 '2023 Top 10 웹 해킹 기술'을 발표했습니다. 23년 한해를 대표하는 10가지 웹 해킹 기술들을 한번 살펴보면 좋을 것 같아 가져와봤습니다. 시간이 난다면 이를 포함한 68개의 후보 항목도 확인해봅시다.

 

 

10. can I speak to your manager? hacking root EPP servers to take control of zones

https://hackcompute.com/hacking-epp-servers/

DNS 제어를 위해 루트 EPP(Extensible Provision Protocol) 서버를 해킹하는 과정을 다룹니다. 특히 전 세계의 ccTLD/TLD 레지스트리에 집중합니다. EPP 프로토콜에서의 취약점, 특히 XML 외부 개체 삽입 (XXE)을 악용하여 민감한 파일과 시스템에 접근하는 방법을 상세히 설명합니다. 그들의 발견이 미칠 수 있는 영향을 강조하며, 도메인 이름에 대한 완전한 제어와 데이터 유출의 가능성을 언급합니다.

 

 

 

9. Cookie Crumbles: Breaking and Fixing Web Session Integrity

https://www.usenix.org/conference/usenixsecurity23/presentation/squarcina

쿠키 무결성 문제에 대한 새로운 이해와 실세계 보안 문제를 다룹니다. 쿠키 보안 메커니즘의 효과를 의심하고, 이러한 문제를 해결하기 위해 제안된 새로운 방법과 브라우저 및 서버 측 응용 프로그램에 구현된 새로운 메커니즘을 살펴봅니다. 특히, 보안 속성 및 쿠키 접두사의 개선은 네트워크 및 동일 사이트 공격자에 대한 방어를 강화함을 보여줍니다. 이 논문에서는 기존 보호 기능의 효과를 의심하고, 실제로는 보안 메커니즘이 우수하다고 여겨졌던 것들이 우회될 수 있음을 보여줍니다. 이 연구는 12개의 CVE 및 27개의 취약점 공개와 쿠키 표준 업데이트에 기여했습니다.

 

 

 

8. From Akamai to F5 to NTLM... with love.

https://blog.malicious.group/from-akamai-to-f5-to-ntlm/

Akamai를 악용한 F5공격으로, F5 고객으로부터 인증 및 세션 토큰을 도용하는 방법을 설명합니다. 이들은 웹 애플리케이션 방화벽(WAF)을 우회하는 대신 Akamai 서비스를 직접 공격할 수 있는 새로운 기법을 발견했습니다. 그리고 이를 통해 높은 탐지 난이도를 가진 공격 시나리오를 개발했습니다. Akamai와 F5의 취약점을 이용하여 글로벌 캐시를 오염시키고 인증 토큰을 훔치는 등의 공격 시연을 확인해 볼 수 있습니다.

 

 

 

7. How I Hacked Microsoft Teams and got $150,000 in Pwn2Pwn

https://speakerdeck.com/masatokinugawa/how-i-hacked-microsoft-teams-and-got-150000-dollars-in-pwn2own
일곱 번째로, "How I Hacked Microsoft Teams and got $150,000 in Pwn2Own"는 15만 달러의 익스플로잇 체인의 발상과 개발을 안내합니다. 이 Masato Kinugawa의 프레젠테이션은 독자가 자체적으로 익스플로잇을 다시 발견할 수 있도록 섬세하게 제작되었습니다. 이것은 보호 기능을 우회하는 혁신적인 접근 방식에 대한 종합적인 통찰력입니다. 

 

 

 

6. Http Request Splitting vulnerabilities exploitation

https://offzone.moscow/upload/iblock/11a/sagouc86idiapdb8f29w41yaupqv6fwv.pdf

HTTP Request Splitting의 범위는 과소평가하기 쉽지만, 2023년에는 어느 주류 서버에서도 해서는 안된다. 그러나 nginx는 이 취약점을 통해 해커들에게 매우 중요한 정보를 제공하고 있습니다. Sergey Bobrov는 HTTP 요청 분할 취약점의 악용에서 최대 효과를 위한 창의적인 경로를 다양하게 제시합니다. nginx가 패치하거나 HTTP/1.1이 사라질 때까지 이러한 정보는 가치가 있을 것으로 예상됩니다.

 

 

 

5. Exploiting HTTP Parsers Inconsistencies

https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies

HTTP 파서의 불일치로 인한 보안 취약점에 대해 조사한 것으로, load balancers, reverse proxies, 웹 서버 및 캐싱 서버와 같은 다양한 기술에서의 HTTP 파서의 불일치로 인한 문제를 다룹니다. 이러한 불일치로 인해 보안 규칙 우회와 서버 측 요청 위조(SSRF) 및 캐시 독점 취약점이 발생할 수 있습니다. 또한 효과적인 리버스 프록시의 중요성을 강조하여 웹 애플리케이션의 보안을 강화할 수 있다는 점을 설명합니다.

 

 

 

4. PHP filter chains: file read from error-based oracle

https://www.synacktiv.com/publications/php-filter-chains-file-read-from-error-based-oracle

PHP의 파일 처리 함수들을 이용하여 로컬 파일을 읽는 것을 목표로 합니다. PHP 필터 체인을 통해 메모리 오류를 유발하고, 이를 기반으로 로컬 파일의 내용을 확인합니다. UCS-4 인코딩과 dechunk 필터를 활용하여 첫 번째 문자를 확인하고, base64 인코딩과 UCS-4LE를 이용하여 문자를 변환합니다. 이를 통해 파일의 내용을 한 글자씩 확인할 수 있습니다. 다양한 PHP 함수들이 이 공격에 영향을 받을 수 있으며, 파일의 존재 여부를 검증하거나 요청의 길이를 제한함으로써 이를 방지할 수 있습니다.

 

 

 

 

3. SMTP Smuggling - Spoofing E-Mails Worldwide

https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/

HTTP Request Smuggling 기법을 적용하여 SMTP를 악용합니다. 혁신적인 아이디어와 함께 잘 알려진 소프트웨어를 타겟팅하는 고영향 사례, 깊은 설명을 담고 있습니다. 다른 프로토콜에서 Smuggling 문제를 식별하거나 SMTP 자체에서 추가 기술을 발견하기 위한 튼튼한 기반이 될 것으로 보입니다. 여러 파서를 사용하는 텍스트 기반 프로토콜을 사용하는 경우 주목해 볼만 합니다.

 

 

 

 

2. Exploiting Hardened .NET Deserialization

https://github.com/thezdi/presentations/blob/main/2023_Hexacon/whitepaper-net-deser.pdf

2023년 Hexacon 컨퍼런스에서 발표된 내용에 대한 자세한 설명을 포함하고 있습니다. 주제는 "네트워크 역직렬화의 위험성"으로, 네트워크 통신에서 발생하는 역직렬화 취약점에 대한 내용을 다룹니다. 역직렬화는 데이터를 직렬화된 형식에서 원래 형식으로 변환하는 과정으로, 악의적인 공격자들은 네트워크 통신에서 이를 악용하여 시스템에 악의적인 코드를 주입할 수 있습니다. 블록리스트 기반 역직렬화 완화책에 대한 보안을 깨고 RCE를 얻어내는 방식을 제시합니다. CredentialIntializer 및 SettingsPropertyValue라는 아름다운 가젯들과 deserialize->serialize 패턴의 보안성이 없는 직렬화 공격을 핵심 포인트로 꼽았습니다.

 

 

 

 

1. Smashing the state machine: the true potential of web race conditions

https://portswigger.net/research/smashing-the-state-machine

지금 이 "Top 10 web hacking techniques"의 저자 James Kettle의 글이 1등을 차지했습니다.(?) 매일 사용되는 애플리케이션에서 RCE 공격의 이전에 간과되었던 측면을 강조합니다. 이는 RCE 공격의 다단계 측면에 초점을 맞추어 더 큰 영향을 얻으려는 것이며, 최신 HTTP 스택을 악용하는 최근 기술을 적용하여 공격 가능성을 극대화합니다. 이러한 공격 중 일부를 실행하는 것은 도전적일 수 있지만, 이 연구는 미래에 큰 잠재력을 갖고있습니다.